Använda rollbaserad åtkomstkontroll för program

  • Artikel

Rollbaserad åtkomstkontroll (RBAC) är en populär mekanism för att framtvinga auktorisering i program. När en organisation använder RBAC definierar en programutvecklare roller för programmet. En administratör kan sedan tilldela roller till olika användare och grupper för att styra vem som har åtkomst till innehåll och funktioner i programmet.

Program tar vanligtvis emot information om användarrollen som anspråk i en säkerhetstoken. Utvecklare har flexibiliteten att tillhandahålla en egen implementering för hur rollanspråk ska tolkas som programbehörigheter. Den här tolkningen av behörigheter kan innebära att använda mellanprogram eller andra alternativ som tillhandahålls av plattformen för program eller relaterade bibliotek.

Approller

Med Microsoft Entra External ID kan du definiera programroller för ditt program och tilldela dessa roller till användare och grupper. De roller som du tilldelar en användare eller grupp definierar deras åtkomstnivå till resurserna och åtgärderna i ditt program.

När ett externt Microsoft Entra-ID utfärdar en säkerhetstoken för en autentiserad användare innehåller det namnen på de roller som du har tilldelat användaren eller gruppen i anspråket för säkerhetstokens roller. Ett program som tar emot den säkerhetstoken i en begäran kan sedan fatta auktoriseringsbeslut baserat på värdena i rollanspråket.

Dricks

Prova nu

Om du vill prova den här funktionen går du till Woodgrove Groceries-demonstrationen och startar användningsfallet "Rollbaserad åtkomstkontroll".

Grupper

Utvecklare kan också använda säkerhetsgrupper för att implementera RBAC i sina program, där användarens medlemskap i specifika grupper tolkas som deras rollmedlemskap. När en organisation använder säkerhetsgrupper inkluderas ett gruppanspråk i token. Gruppanspråket anger identifierarna för alla grupper som användaren tilldelas till i den aktuella externa klientorganisationen.

Dricks

Prova nu

Om du vill prova den här funktionen går du till Woodgrove Groceries-demonstrationen och startar användningsfallet "Gruppbaserad åtkomstkontroll".

Approller jämfört med grupper

Även om du kan använda approller eller grupper för auktorisering kan viktiga skillnader mellan dem påverka vilka du bestämmer dig för att använda för ditt scenario.

Approller Grupper
De är specifika för ett program och definieras i appregistreringen. De är inte specifika för en app, utan för en extern klientorganisation.
Det går inte att dela mellan program. Kan användas i flera program.
Approller tas bort när deras appregistrering tas bort. Grupper förblir intakta även om appen tas bort.
Tillhandahålls i anspråket roles . Tillhandahålls i groups anspråk.

Skapa en säkerhetsgrupp

Säkerhetsgrupper hanterar användar- och datoråtkomst till delade resurser. Du kan skapa en säkerhetsgrupp så att alla gruppmedlemmar har samma uppsättning säkerhetsbehörigheter.

Följ dessa steg för att skapa en säkerhetsgrupp:

  1. Logga in på administrationscentret för Microsoft Entra som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.
  2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.
  3. Bläddra till Identitetsgrupper>>Alla grupper.
  4. Välj Ny grupp.
  5. Under Listrutan Grupptyp väljer du Säkerhet.
  6. Ange Gruppnamn för säkerhetsgruppen, till exempel Contoso_App_Administrators.
  7. Ange Gruppbeskrivning för säkerhetsgruppen, till exempel Säkerhetsadministratör för Contoso-appen.
  8. Välj Skapa.

Den nya säkerhetsgruppen visas i listan Alla grupper . Om du inte ser det omedelbart uppdaterar du sidan.

Externt ID för Microsoft Entra kan innehålla information om en användares gruppmedlemskap i token för användning i program. Du lär dig hur du lägger till gruppanspråket till token i avsnittet Tilldela användare och grupper till roller .

Deklarera roller för ett program

  1. Logga in på administrationscentret för Microsoft Entra som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.

  2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.

  3. Bläddra till Identitetsprogram>> Appregistreringar.

  4. Välj det program som du vill definiera approller i.

  5. Välj Approller och sedan Skapa en approll.

  6. I fönstret Skapa en approll anger du inställningarna för rollen. I följande tabell beskrivs varje inställning och dess parametrar.

    Fält Description Exempel
    Visningsnamn Visningsnamn för approllen som visas i apptilldelningen. Det här värdet kan innehålla blanksteg. Orders manager
    Tillåtna medlemstyper Anger om den här approllen kan tilldelas till användare, program eller både och. Users/Groups
    Värde Anger värdet för det rollanspråk som programmet ska förvänta sig i token. Värdet ska exakt matcha strängen som refereras i programmets kod. Värdet får inte innehålla blanksteg. Orders.Manager
    Beskrivning En mer detaljerad beskrivning av approllen som visas under tilldelningen av administratörsappar. Manage online orders.
    Vill du aktivera den här approllen? Anger om approllen är aktiverad. Om du vill ta bort en approll avmarkerar du den här kryssrutan och tillämpar ändringen innan du försöker ta bort åtgärden. Kontrolleras

  7. Välj Använd för att skapa programrollen.

Tilldela användare och grupper till roller

När du har lagt till approller i ditt program kan administratören tilldela användare och grupper till rollerna. Tilldelning av användare och grupper till roller kan göras via administrationscentret eller programmatiskt med hjälp av Microsoft Graph. När de användare som tilldelats till de olika approllerna loggar in på programmet har deras token sina tilldelade roller i anspråket roles .

Så här tilldelar du användare och grupper till programroller med hjälp av Azure-portalen:

  1. Logga in på administrationscentret för Microsoft Entra som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.
  2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.
  3. Bläddra till Identity>Applications Enterprise-program.>
  4. Välj Alla program för att visa en lista över alla dina program. Om du inte kan hitta ditt program i listan använder du filtren över listan Alla program för att begränsa mängden program som visas, eller bläddrar nedåt i listan för att hitta ditt program.
  5. Välj programmet där du vill tilldela roller till användare eller säkerhetsgrupper.
  6. Under Hantera väljer du Användare och grupper.
  7. Välj Lägg till användare för att öppna fönstret Lägg till tilldelning.
  8. I fönstret Lägg till tilldelning väljer du Användare och grupper. En lista över användare och säkerhetsgrupper visas. Du kan välja flera användare och grupper i listan.
  9. När du har valt användare och grupper väljer du Välj.
  10. I fönstret Lägg till tilldelning väljer du Välj en roll. Alla roller som du har definierat för programmet visas.
  11. Välj en roll och välj sedan Välj.
  12. Välj Tilldela för att slutföra tilldelningen av användare och grupper till appen.
  13. Bekräfta att de användare och grupper som du har lagt till visas i listan Användare och grupper .

Testa programmet genom att logga ut och logga in igen med den användare som du tilldelade rollerna. Kontrollera säkerhetstoken för att se till att den innehåller användarens roll.

Lägga till gruppanspråk i säkerhetstoken

Följ dessa steg för att generera anspråk för gruppmedlemskap i säkerhetstoken:

  1. Logga in på administrationscentret för Microsoft Entra som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.
  2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.
  3. Bläddra till Identitetsprogram>> Appregistreringar.
  4. Välj det program där du vill lägga till gruppanspråket.
  5. Under Hantera väljer du Tokenkonfiguration.
  6. Välj Lägg till gruppanspråk.
  7. Välj grupptyper som ska inkluderas i säkerhetstoken.
  8. För Anpassa tokenegenskaper efter typ väljer du Grupp-ID.
  9. Välj Lägg till för att lägga till gruppanspråket.

Lägga till medlemmar i en grupp

Nu när du har lagt till appgruppers anspråk i ditt program lägger du till användare i säkerhetsgrupperna. Om du inte har någon säkerhetsgrupp skapar du en.

  1. Logga in på administrationscentret för Microsoft Entra som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.
  2. Om du har åtkomst till flera klienter använder du ikonenInställningar på den översta menyn för att växla till din externa klientorganisation från menyn Kataloger + prenumerationer.
  3. Bläddra till Identitetsgrupper>>Alla grupper.
  4. Välj den grupp som du vill hantera.
  5. Välj Medlemmar.
  6. Välj + Lägg till medlemmar.
  7. Bläddra igenom listan eller ange ett namn i sökrutan. Du kan välja flera namn. När du är klar väljer du Välj.
  8. Sidan Gruppöversikt uppdateras för att visa antalet medlemmar som nu lagts till i gruppen.

Testa programmet genom att logga ut och sedan logga in igen med den användare som du lade till i säkerhetsgruppen. Kontrollera säkerhetstoken för att se till att den innehåller användarens gruppmedlemskap.

Stöd för grupper och programroller

En extern klient följer Microsoft Entra-användar- och grupphanteringsmodellen och programtilldelningen. Många av microsoft Entra-kärnfunktionerna fasas in i externa klienter.

I följande tabell visas vilka funktioner som är tillgängliga för närvarande.

Funktion Är du tillgänglig för tillfället?
Skapa en programroll för en resurs Ja, genom att ändra programmanifestet
Tilldela en programroll till användare Ja
Tilldela en programroll till grupper Ja, endast via Microsoft Graph
Tilldela en programroll till program Ja, via programbehörigheter
Tilldela en användare till en programroll Ja
Tilldela ett program till en programroll (programbehörighet) Ja
Lägga till en grupp i ett program/tjänstens huvudnamn (gruppanspråk) Ja, endast via Microsoft Graph
Skapa/uppdatera/ta bort en kund (lokal användare) via administrationscentret för Microsoft Entra Ja
Återställa ett lösenord för en kund (lokal användare) via administrationscentret för Microsoft Entra Ja
Skapa/uppdatera/ta bort en kund (lokal användare) via Microsoft Graph Ja
Återställa ett lösenord för en kund (lokal användare) via Microsoft Graph Ja, bara om tjänstens huvudnamn läggs till i rollen Global administratör
Skapa/uppdatera/ta bort en säkerhetsgrupp via administrationscentret för Microsoft Entra Ja
Skapa/uppdatera/ta bort en säkerhetsgrupp via Microsoft Graph API Ja
Ändra medlemmar i säkerhetsgrupper med hjälp av administrationscentret för Microsoft Entra Ja
Ändra medlemmar i säkerhetsgrupper med hjälp av Microsoft Graph API Ja
Skala upp till 50 000 användare och 50 000 grupper För närvarande inte tillgängligt
Lägga till 50 000 användare i minst två grupper För närvarande inte tillgängligt

Nästa steg